在未来的安全编码中,人的因素起到什么作用?
.png)
.png)
随着网络威胁的数量不断增加,企业每天都在安全、实用性和速度之间做出权衡--在这个过程中暴露出自己的风险。需要新的安全编码方法,因此,安全 代码战士与埃文斯数据公司合作,对开发人员对安全编码的态度、安全代码实践和安全操作进行主要研究(下载白皮书 这里).
这份报告显示,虽然 "老派 "的被动思维仍占主导地位,但人们越来越意识到需要更积极的解决方案,将开发者本身变成第一道防线。
任何关于采用安全编码实践的探索都需要从了解参与实施的人类、他们对安全编码的看法以及他们实施安全编码的能力开始。这就导致了难题中最重要的部分--如何让他们从一开始就能更安全地编码,并更快、更有信心地发送高质量的代码?
安全编码--我们现在在哪里,有什么需要改变? 下载 信息图 "人的因素",现在。
当前的观点--被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,前三个回答是:。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
- 编写受保护的软件的积极和持续的做法,以防止漏洞。
正如我们所看到的,前三个回答中的两个仍然集中在反应式方法上--第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人类)执行手动检查。
同时,在被提名的三项活动中,有两项是依靠人的因素。这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞影响。这突出了一个向左开始的转变--一种主动的和预防性的方法,从SDLC的一开始就将安全纳入软件。
安全在SDLC中的位置?
当开发人员和开发经理被问及他们认为安全编码实践融入SDLC的地方时,意见不同。55%的经理认为安全编码被整合到了整个开发过程中,而只有43%的开发人员认为是这样。这种差异可能反映了这两个群体在SDLC中的不同角色。管理人员通常较少参与编码的实际工作,并倾向于有一个更高层次的观点 - 而开发人员可能更关心螺母和螺栓。
但从整体安全和代码质量的角度来看,令人震惊的是,只有13%的开发人员和10%的管理人员表示,安全代码实践应该被整合在设计阶段--就在SDLC的开始。这是一个巨大而未实现的机会。根据IBM的一项研究,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。软件安全不能仅仅依靠工具来解决,它必须考虑到人的因素。
人的因素准备好了吗?
97%的受访开发者认为他们已经接受了足够的安全编码培训,95%的人认为安全编码培训对他们的职业生涯有价值。但在接受这些说法的表面价值之前,我们需要问:为什么代码漏洞仍然如此普遍?开发者声称的安全代码专业知识只是人类自我的一种情况吗?证据当然指向了这个方向。在更谦虚的承认中,超过88%的受访开发者承认安全编码很难学习,91%的开发经理承认安全编码实践在实施中具有挑战性。当被问及围绕安全编码实施的主要个人问题时,28%的开发人员认为学习过程具有挑战性,而24%的人认为学习过程很无聊。这指出了一个事实,即开发人员的培训需要改进。
人的因素需要什么?
为了克服 "挑战 "因素,有价值的安全培训需要一个 "脚手架 "过程,支持开发人员一步步建立安全编码技能。为了获得最大的相关性和即时适用性,培训应该在他们每天使用的特定语言和框架中进行。
为了克服 "无聊 "的因素,安全代码培训需要以实践的方式进行--事实证明,这比过时的课堂或 "观看视频 "模式更能吸引开发人员。这些方式应该包括现场模拟,让开发人员在安全的环境中解决有时很危险的安全挑战。其目的应该是教导开发人员如何在工作中发现和修复代码中的漏洞,并使安全编码成为他们日常工作的一部分。另一个关键的有利因素是内部的IDE提示和辅导,这有助于开发人员在编码时不断学习和提高技能,在工作中防止和消除漏洞。
如果你想了解如何为你的开发人员提供这种以开发人员为中心的新水平的工具和培训。 预约演示现在就可以。
你还可以 下载你的副本 的白皮书《从反应到预防。应用安全的变化。
Secure Code Warrior
Secure Code Warrior 通过向开发人员传授安全代码编写的技能,建立以安全为导向的开发人员文化。我们的旗舰产品敏捷Learning Platform 为开发人员提供了基于技能的相关途径、动手实践missions 以及上下文工具,帮助他们快速学习、构建和应用技能,从而快速编写安全代码。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
在未来的安全编码中,人的因素起到什么作用?
随着网络威胁的数量不断增加,企业每天都在安全、实用性和速度之间做出权衡--在这个过程中暴露出自己的风险。需要新的安全编码方法,因此,安全 代码战士与埃文斯数据公司合作,对开发人员对安全编码的态度、安全代码实践和安全操作进行主要研究(下载白皮书 这里).
这份报告显示,虽然 "老派 "的被动思维仍占主导地位,但人们越来越意识到需要更积极的解决方案,将开发者本身变成第一道防线。
任何关于采用安全编码实践的探索都需要从了解参与实施的人类、他们对安全编码的看法以及他们实施安全编码的能力开始。这就导致了难题中最重要的部分--如何让他们从一开始就能更安全地编码,并更快、更有信心地发送高质量的代码?
安全编码--我们现在在哪里,有什么需要改变? 下载 信息图 "人的因素",现在。
当前的观点--被动与主动
当开发人员和开发经理被问及他们与安全编码相关的活动时,前三个回答是:。
- 在已部署的应用程序上使用扫描工具。
- 手动审查代码中的漏洞。
- 编写受保护的软件的积极和持续的做法,以防止漏洞。
正如我们所看到的,前三个回答中的两个仍然集中在反应式方法上--第一个依赖于工具(扫描仪),第二个依赖于开发人员(即人类)执行手动检查。
同时,在被提名的三项活动中,有两项是依靠人的因素。这表明人们越来越认为安全是一个人的问题。但在所有被提名的活动中,最能说明问题的是第3项,它确定了在编写软件时的人为因素,首先要保护其不受漏洞影响。这突出了一个向左开始的转变--一种主动的和预防性的方法,从SDLC的一开始就将安全纳入软件。
安全在SDLC中的位置?
当开发人员和开发经理被问及他们认为安全编码实践融入SDLC的地方时,意见不同。55%的经理认为安全编码被整合到了整个开发过程中,而只有43%的开发人员认为是这样。这种差异可能反映了这两个群体在SDLC中的不同角色。管理人员通常较少参与编码的实际工作,并倾向于有一个更高层次的观点 - 而开发人员可能更关心螺母和螺栓。
但从整体安全和代码质量的角度来看,令人震惊的是,只有13%的开发人员和10%的管理人员表示,安全代码实践应该被整合在设计阶段--就在SDLC的开始。这是一个巨大而未实现的机会。根据IBM的一项研究,修复发布后的代码中的漏洞要比在一开始就发现和修复这些漏洞的成本高30倍。软件安全不能仅仅依靠工具来解决,它必须考虑到人的因素。
人的因素准备好了吗?
97%的受访开发者认为他们已经接受了足够的安全编码培训,95%的人认为安全编码培训对他们的职业生涯有价值。但在接受这些说法的表面价值之前,我们需要问:为什么代码漏洞仍然如此普遍?开发者声称的安全代码专业知识只是人类自我的一种情况吗?证据当然指向了这个方向。在更谦虚的承认中,超过88%的受访开发者承认安全编码很难学习,91%的开发经理承认安全编码实践在实施中具有挑战性。当被问及围绕安全编码实施的主要个人问题时,28%的开发人员认为学习过程具有挑战性,而24%的人认为学习过程很无聊。这指出了一个事实,即开发人员的培训需要改进。
人的因素需要什么?
为了克服 "挑战 "因素,有价值的安全培训需要一个 "脚手架 "过程,支持开发人员一步步建立安全编码技能。为了获得最大的相关性和即时适用性,培训应该在他们每天使用的特定语言和框架中进行。
为了克服 "无聊 "的因素,安全代码培训需要以实践的方式进行--事实证明,这比过时的课堂或 "观看视频 "模式更能吸引开发人员。这些方式应该包括现场模拟,让开发人员在安全的环境中解决有时很危险的安全挑战。其目的应该是教导开发人员如何在工作中发现和修复代码中的漏洞,并使安全编码成为他们日常工作的一部分。另一个关键的有利因素是内部的IDE提示和辅导,这有助于开发人员在编码时不断学习和提高技能,在工作中防止和消除漏洞。
如果你想了解如何为你的开发人员提供这种以开发人员为中心的新水平的工具和培训。 预约演示现在就可以。
你还可以 下载你的副本 的白皮书《从反应到预防。应用安全的变化。
